對 Windows活動目錄有所瞭解的管理員應該對SYSVOL不陌生,它是用來存儲域公共文件服務器副本的共享文件夾,例如我們用得最多的組策略設置、腳本 等都是存在這個共享目錄中的。如果組織內有多臺域控制器,那麼它們就在域中所有的域控制器之間通過FRS服務相互複製。而NETLOGON共享則是 SYSVOL目錄中一個文件夾Scripts的共享名,顧名思義就是用來保存腳本信息的。SYSVOL文件夾的重要性不想多說,然而有的時候它就偏偏出問 題,導致活動目錄AD故障層出,通常組策略無法執行,在域控制器或成員機器上的事件日誌中每隔5分鐘就記錄ID號爲1058和1030的錯誤消息,讓人很 是惱火。而通常遇得最多的SYSVOL問題就是如下兩種:
1. SYSVOL和NETLOGON共享丟失。這種情況在輔助域控制器上通常會出現,但有時也在第一臺域控制器上也可能會出現這種情況。另外,當對活動目錄執行災難還原後也有可能遇到這個情況
2. 管理員有意或無意的刪除了整個或部分SYSVOL目錄中的文件,這種情況在管理員誤操作時遇得比較多,我就曾遇到有人將SYSVOL遷移到E盤,然後誤操作將E盤格式化
OK,不管是什麼原因導致出現以上兩個問題,總之我將在這篇文章中着手解決這兩個問題,希望對大家有幫助
環境
DC:dc.a.com
在這裏我就只用了一臺DC做演示。如果你的環境中有多臺DC,操作和本文章類似。
操作步驟
一、
1. 先來解決第一個常見問題,假設只是SYSVOL和NETLOGOGN共享丟失,但是文件夾結構尚在。這個問題比較好解決。爲了模擬故障,我手動將SYSVOL共享取消了。如圖1和2
2. 打開註冊表編輯器,找到如下鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup
然後在右邊找到BurFlags,將其值改爲D4(16進制)後退出,如圖3
3. 再分別運行如下命令重啓相關服務,如圖4
Net stop netlogon & net start netlogon
Net stop ntfrs & net start ntfrs
4. 這個時候我們再來看看SYSVOL共享有沒有恢復。如圖5、6所示,丟失的SYSVOL共享和NETLOGON共享已經成功恢復。
(注:第2步修改的註冊表鍵值會在第3步操作後自動清除回到默認值)
二、
在接下來的演示中,我將SYSVOL文件夾全部刪除,然後大家分享一下如何重建SYSVOL目錄樹中的內容和重建共享
1. 如圖7所示,我已經手動將SYSVOL目錄都刪除來模擬故障
2. 由於操作系統並不會自動重建SYSVOL的目錄結構,所以我們需要手動按照原有的實際結構來建立。
SYSVOL 文件夾結構:
? domain
? DO_NOT_REMOVE_NtFrs_PreInstall_Directory
? Policies
? {GUID}
? Adm
? MACHINE
? USER
? {GUID}
? Adm
? MACHINE
? USER
? {etc.,}
? scripts
? staging
? staging areas
? MyDomainName.com
? scripts
? sysvol(sysvol share)
? MyDomainName.com
? DO_NOT_REMOVE_NtFrs_PreInstall_Directory
? Policies
? {GUID}
? Adm
? MACHINE
? USER
? {GUID}
? Adm
? MACHINE
? USER
? {etc.,}
? scripts(NETLOGON share)
上面的文件夾結構是不是看花了?沒關係,看我的具體操作:
a. 在windows目錄下新建一個文件夾叫SYSVOL
b. 在c:\windows\sysvol目錄下再新建一個文件夾:domain、staging、staging areas、sysvol
c. 在C:\WINDOWS\SYSVOL\domain目錄下新建兩個文件夾:Policies和Scripts
d. 在C:\WINDOWS\SYSVOL\staging目錄下新建一個文件夾:domain
e. 在C:\WINDOWS\SYSVOL\staging areas目錄下新建一個和域名相同的文件夾,例如我的是a.com,那麼就在該目錄新建a.com文件夾
f. 和步驟e一樣,在C:\WINDOWS\SYSVOL\sysvol目錄也新建一個和域名相同的文件夾,如C:\WINDOWS\SYSVOL\sysvol\a.com,至此文件夾的結構被我們重建得差不多了。
3. 由於接下來我們需要用到兩個小工具,所以要在域控制器上安裝Windows 2003 Resource kit,下載地址爲:
http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=en&SrcCategoryId=&SrcFamilyId=9d467a69-57ff-4ae7-96ee-b18c4790cffd&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2f8%2fe%2fc%2f8ec3a7d8-05b4-440a-a71e-ca3ee25fe057%2frktools.exe
4. 運行如下命令重啓NTFRS服務:
Net stop ntfrs & net start ntfrs
5. 重啓服務後,NTFRS服務會自動幫我們完善前面的SYSVOL目錄結構,例如添加相應目錄的隱藏屬性、增加DO_NOT_REMOVE_NtFrs_PreInstall_Directory隱藏文件夾等等。運行如下命令後,得出如圖8的結果表示正常
ntfrsutl ds |findstr /i "root stage"
然後利用Linkd程序來掛接相應的目錄,創建如下兩個交接點: (注:交接點外表像文件夾而且運轉也像文件夾(在 Windows Explorer 中無法將它們與普通文件夾區分開來),但它們不是文件夾。交接點包含了與另一文件夾的鏈接。程序打開它時,交接點會自動將程序重新定向至交接點所鏈接的文 件夾。而重新定向對於用戶和應用程序是完全透明的。SYSVOL系統卷就是採用的這種文件夾結構)
a. C:\WINDOWS\SYSVOL\SYSVOL\域名 ----? (掛接到) C:\WINDOWS\SYSVOL\DOMAIN
b. C:\WINDOWS\SYSVOL\staging areas\域名 ---?(掛接到) C:\WINDOWS\SYSVOL\staging\domain
具體命令爲:
a. 在“開始“?”運行”中輸入”cmd”,然後在打開的”命令提示窗口”輸入:
Linkd %systemroot%\SYSVOL\SYSVOL\a.com %systemroot%\SYSVOL\DOMAIN 如圖9所示
Linkd "%systemroot%\SYSVOL\staging areas\a.com" %systemroot%\SYSVOL\staging\domain 如圖10所示
b. 最好再驗證一下前面的掛接操作是否都成功了,如圖11:
6. 打開註冊表編輯器,找到如下鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\{GUID},其中GUID是類似f791c404-f37f-4634-9899d59d9397871e這樣的字符串值。
然後找到右邊的BurFlags,同樣將其修改爲D4,完成後退出註冊表編輯器,如圖12
(注:第6步修改的註冊表鍵值會在第7步操作後自動清除回到默認值)
7. 運行如下命令重啓服務:
Net stop ntfrs & net start ntfrs
8. 激動人心的時候來了,此時打開SYSVOL目錄和輸入net share命令,會發現SYSVOL和NETLOGON共享都重建出來了。如圖13、14
9. 整個步驟進行到這裏,似乎可以告一段落了。但是你在域控制器上仍有可能繼續收到1058、1030的錯誤信息,如圖15、16.這是爲什麼呢?輸入UNC路徑\\a.com後,的確能看到SYSVOL和NETLOGON共享啊。如圖17.
10. 其實並不是我們操作錯誤,而是在這個演示中,我爲了徹底重建SYSVOL目錄將之前的刪除了,所以同時也刪除了所有的域策略,例如就刪除了系統默認的兩條 策略““域安全策略”和“域控制器安全策略”。因爲GPO策略信息是以文件的形式保存在C:\WINDOWS\SYSVOL \domain\Policies這個路徑下的。儘管我們重建了SYSVOL目錄,但是並沒有重建策略文件,所以導致事件日誌報錯。當然,““域安全策 略”和“域控制器安全策略”也就無法打開咯,如圖18
11. 如何解決上面的問題呢?我認爲至少有3個方法可以解決:
a. 最簡單也是最值得推薦的方法就是直接從別的域控制器上將以上的策略文件拷貝到該域控制的C:\WINDOWS\SYSVOL\sysvol\a.com\Policies目錄下。如圖19。不要告訴我你沒有其他域控制器,重新安裝一臺虛擬機總是可以的吧。
(注:{31B2F340-016D-11D2-945F-00C04FB984F9}是““域安全策略”的文件策略;
{6AC1786C-016F-11D2-945F-00C04fB984F9}是“域控制器安全策略”的策略文件)
b. 如果您以前曾通過GPMC備份過GPO,那麼直接還原過去即可。這種方法是最沒有副作用的。不止能還原系統默認的GPO,還能還原自定義的GPO設置。
c. 如果沒有做過GPO的備份,又懶得從其他域控制器拷貝,那麼還有一個辦法是使用工具直接重建這兩條策略,方法是安裝Resource Kit後運行命令dcgpofix /target:both。這個命令會重新建立這兩條策略到域控制器剛安裝好時的默認狀態,既然是重建那麼你曾在這兩條策略上做的設置都會清空,這點請注 意。
(注:運行dcgpofix時如果提示“此域的 Active Directory 架構版本和此工具所支持的版本不匹配。”,那麼請將命令修改爲dcgpofix /ignoreschema /target:both忽略架構版本。之所以有這樣的提示是因爲我的系統現在是2003 SP2,而Resource Kit工具包是配合2003的,沒有找到專門匹配2003SP2的資源包,其實不必理會,直接忽略警告信息就OK。)
12 此時再打開事件查看器,如圖20,每隔5分鐘出現一次的紅叉終於沒有了,整個世界清淨了。
